Im Juni 2018 wurde entschieden, dass Fanpage-Betreiber in der EU gemeinsam mit Facebook für die Datenverarbeitung verantwortlich sind. Dies führte zu vielen Abschaltungen von Fanpages, da die Betreiber nicht für mögliche Datenverstöße von Facebook haften wollte. Allerdings wurde die Entscheidung des EuGHs in vielen Fällen missverstanden.
Es handelt sich hierbei nicht um eine vollständige Verantwortlichkeit der Fanpage-Betreiber für sämtliche Inhalte auf Facebook – die gemeinsame Verantwortlichkeit bezieht sich nur auf die Bildung der Insight Statistiken, die allen Betreibern zur Verfügung gestellt werden. Hierbei werden die Nutzerdaten der einzelnen Seiten gesammelt und katalogisiert, sodass diese Daten den Betreibern Aufschluss über die Demografie der Besucher geben können, um z. B. Inhalte und Werbung auf die Besucher passend zuzuschneiden. Da es sich hierbei um einen gemeinsamen Zweck des Betreibers und Facebook handelt, tritt eine gemeinsame Verantwortlichkeit beider Parteien in Kraft. Hierbei war es für den Europäischen Gerichtshof irrelevant, dass die Betreiber nur anonymisierte Daten der Besucher erhalten. Entscheidend war hierbei, dass die Daten bei einem der beiden Verantwortlichen (in diesem Fall bei Facebook) personenbezogen verarbeitet wurden.
Folgen für die Seiten-Betreiber
Wichtig für die Seiten-Betreiber ist nun, dass eine Ergänzung zu den bisherigen Bestimmungen vorliegt. Hierbei muss der Betreiber sicherstellen, dass er eine Rechtsgrundlage für die Verarbeitung von Insight-Daten gemäß der DSGVO hat und einen Datenschutzbeauftragten für die jeweilige Seite benennen. In der ergänzenden Bestimmung wird ebenfalls festgehalten, dass Facebook Irland und der jeweilige Seiten-Betreiber gemeinsam für die Verarbeitung von Insight-Daten verantwortlich sind.
Um Ihr Risiko als Fanpage-Betreiber zu minimieren, schlage ich folgende Maßnahmen vor:
- Implementieren Sie hierzu die Ergänzungsvereinbarung von Facebook in die Datenschutzhinweise Ihrer Website. Dabei sollten folgende Punkte enthalten sein:
- Sie und Facebook Ireland sind gemeinsam verantwortlich und die Betroffenenrechte können somit bei beiden geltend gemacht werden.
- Die primäre Verantwortung gemäß DSGVO für die Verarbeitung von Insight-Daten liegt bei Facebook und damit auch die Erfüllung sämtlicher Pflichten aus der DSGVO im Hinblick auf die Verarbeitung der Daten.
- Facebook Ireland stellt das Wesentliche der Seiten-Insights-Ergänzung den betroffenen Personen zur Verfügung.
- Sie als Betreiber besitzen keine Entscheidungen hinsichtlich der Verarbeitung von Insights-Daten und alle weiteren sich aus Art. 13 DSGVO ergebenden Informationen, darunter Rechtsgrundlage, Identität des Verantwortlichen und Speicherdauer von Cookies auf Nutzerendgeräten.
- Eine weitere Maßnahme ist die Installation eines Opt-in-Banners/Cookie-Banners auf der eigenen Website, um die Einwilligung der Besucher einzuholen, dass das Tracking für die Facebook-Seite erlaubt. Dadurch erhalten sie zumindest eine Rechtsgrundlage für einige durch Insights getrackte Nutzer.
- Verlinken Sie ihre Datenschutzhinweise auf Ihrer Fanpage (im Infobereich).
- Sollten Sie Anfragen von Betroffenen oder der Aufsichtsbehörde haben, übermitteln Sie diese direkt an Facebook.
- Anschließend überprüfen Sie Ihre anderen Plattformen auf die Anbietung von Nutzerauswertungen. Auch hier empfiehlt sich die Anpassung der Richtlinien wie oben beschrieben.
Was folgt jetzt?
Nach der Entscheidung über die Verantwortlichkeiten der Facebook-Fanpages wird momentan über die Verantwortlichkeiten der Facebook-Pixel und Like-Button diskutiert. Hierbei geht es um die Einbindung der Social Plugins auf der eigenen Website und der Nutzung dieser Möglichkeit zur Messung der Seiten-Insights. Social Plugins werden allgemein rechtlich äußerst riskant eingeschätzt, da der Internetnutzer weder weiß, welche Daten übertragen werden, noch was mit den Daten geschieht. Bei der Entscheidung kündigt sich ebenfalls eine Mithaftung des Betreibers an, wodurch eine datenschutzrechtliche Mitverantwortung entsteht. Nach der Ansicht der Aufsichtsbehörde darf ein Social-Plugin erst eingesetzt werden, wenn die Besucher die Einwilligung dazu gegeben haben. Hierzu müssten die Cookie-Banner dementsprechend überarbeitet werden, da die Plugins größtenteils automatisch aktiviert sind und somit dem Websitebesucher keine Wahl gelassen wird. Höchstwahrscheinlich wird eine ähnliche Entscheidung des EuGHs wie bei der Verwaltung von Fanseiten getroffen werden.
Gerne halte ich Sie zu diesem Verfahren und den Folgen auf dem Laufenden, damit Ihre Daten und die Ihrer Kunden bestmöglich geschützt sind.
Weiterführende Quellen:
Bundeskartellamt digitale Wirtschaft
Fanpages, Pixel und Like-Buttons
Haben Sie noch Fragen zur Mithaftung in Bezug auf Ihre Facebook-Fanpages? Benötigen Sie Unterstützung bei der Umsetzung des Datenschutzes auf Ihren Kanälen in Ihrem Unternehmen? Ich berate Sie gerne. Schreiben Sie mir einfach eine E-Mail.